平面 (Plane) 平台 Favicon 获取中的 SSRF 漏洞总结 漏洞概述 漏洞名称: Full Read Server-Side Request Forgery (SSRF) in Favicon Fetching using Redirection (利用重定向在 Favicon 获取中实现完全读取的服务器端请求伪造) 严重性: High (CVSS 7.7/10) 描述: 之前的修复(GHSA-code-favicon-fetch)是不完整的。当正常的 HTML 页面包含一个指向私有 IP 地址的 标签(通过 重定向)时,会被 功能利用。经过身份验证的低权限攻击者可以利用此漏洞进行 SSRF。 根本原因: 修复程序验证了主页面 URL 的重定向,但没有验证 favicon 获取路径的重定向。 函数仍然使用 并遵循默认的重定向。 影响范围 受影响包: 受影响版本: 已修复版本: 修复方案 升级 Plane 到版本 或更高版本。 在代码层面,需确保 函数在获取 favicon 时也验证重定向,防止重定向到私有 IP 地址。 利用代码 (PoC) 步骤 1: 创建公开可访问的 HTML 页面 (注:你可以使用自己的网站或其他网站代替 https://redirecteeto.com,只要它返回与 标签相同的 URL) 步骤 2: 在 Plane 中添加链接 在 "Add link" 功能中输入上述 URL。 步骤 3 & 4: 触发漏洞并验证 访问以下 API 端点(需替换具体的 slug, ID 等参数): (注:你可以添加 issue_reactions, issue_attachments, issue_link_parent 等参数) 验证响应 (JSON):** 在响应中可以看到 被解析为了内部 IP 地址: